グループポリシーを適用してネットワークを保護するプロセスは、複雑になりがちです。ポリシー要素は、ユーザー、グループ、コンピュータ、ドメインなどに適用できるためです。もちろん、プロセスを効率化し、混乱を軽減するためのガイドラインはありますが、それでもグループポリシー要素が重複してしまう可能性は十分にあります。
グループポリシーの要素が重複している場合、特に多数のポリシー要素が重複し、互いに矛盾している場合は、結果を予測することが困難になることがよくあります。Windows XPには、重複した混乱を整理するのに役立つ「ポリシーの結果セット (RSoP) ウィザード」というツールが搭載されています。
RSoP の仕組み
Microsoft のオンラインドキュメント「Windows 2000 Server 環境での Windows XP の管理」によると、RSoP は既存のポリシーをポーリングし、その結果を報告するクエリエンジンです。サイト、ドメイン、ドメインコントローラ、組織単位 (OU) に基づいて既存のポリシーをポーリングします。RSoP は、この情報を Common Information Model Object Manager (CIMOM) データベース (一般に「WMI」または Windows Management Instrumentation と呼ばれます) から収集します。
RSoP は、グループポリシーで設定されたポリシーのチェックに加えて、特定のユーザーまたはコンピュータに関連付けられているアプリケーションのソフトウェアインストールもチェックし、これらのクエリ結果を報告します。RSoP は、管理者が設定したすべてのポリシー設定の詳細を表示します。これには、管理用テンプレート、フォルダリダイレクト、Internet Explorer のメンテナンス、セキュリティ、スクリプトが含まれます。
RSoP ウィザードを
起動します。まず、「ファイル名を指定して実行」プロンプトに MMC コマンドを入力します。これにより、空の Microsoft 管理コンソール セッションが開きます。次に、「ファイル」メニューの「スナップインの追加と削除」をクリックし、「スナップインの追加と削除」プロパティ シートを開きます。「スタンドアロン」タブが選択されているはずです。「追加」ボタンをクリックすると、利用可能なスナップインの一覧が表示されます。一覧から RSoP スナップインを選択し、「追加」ボタンをクリックします。これで RSoP ウィザードが起動します。
RSoP の使用
Microsoft のほとんどのウィザードと同様に、RSoP ウィザードはようこそ画面から始まります。[次へ] ボタンをクリックしてようこそ画面を消去し、モード選択画面に進みます。ここで、ログ モードと計画モードを選択できます。ログ モードでは、特定のコンピューターまたは特定のユーザーに適用されている実際のポリシー設定を確認できるため、RSoP で最も頻繁に使用するモードです。計画モードでは、Active Directory のデータを使用してポリシー実装をシミュレートできます。これにより、ユーザー、コンピューター、サイト、ドメイン、組織単位 (OU)、およびセキュリティ グループのメンバーシップについて指定した情報に基づいて、「what if」分析を実行できます。計画モードでは、.NET サーバーを使用する必要があります。この記事では、既に適用されているポリシーのトラブルシューティングに焦点を当てているため、ログ モードを使用します。
「ログモード」ラジオボタンを選択し、「次へ」をクリックすると、RSoPウィザードがポリシー設定を表示するコンピュータを選択するよう要求します(図Aを参照)。現在のコンピュータまたはネットワーク上の別のコンピュータを選択できます。
| 図A |
 |
コンピュータ関連のポリシーを一切表示しないオプションもあります。個人的には、このオプションはトラブルシューティングに非常に役立つと思います。例えば、ユーザーの権限に関する問題を調べているとします。望ましくないポリシーが適用されていますが、そのポリシーの適用元がわかりません。コンピュータ関連のポリシーではなく、ユーザー関連のポリシーのみを表示するオプションを使用すると、望ましくないポリシー設定が適用されているのが、ユーザー関連のグループポリシー要素によるものか、コンピュータ関連のポリシー要素によるものかを簡単に判断できます。
このチェックボックスを1つ選択するだけで、問題の原因となる可能性のあるものの半分を効果的に排除できます。もちろん、トラブルシューティングではなく、ユーザーに適用されるポリシーを調べたい場合は、このオプションを使用しないでください。
作業対象のコンピューターを選択したら、「次へ」をクリックします。ウィザードは、ポリシー設定を確認するユーザーを選択するよう要求します(図Bを参照)。チェックボックスを使用して、現在のユーザーまたは別のユーザーを選択します。
| 図B |
 |
ログインしているユーザー以外のユーザーのポリシー設定を確認するには、いくつか注意すべき点があります。「別のユーザー」オプションを選択すると、ラジオボタンの下のウィンドウにユーザーのリストが表示されます。このオプションは主に、ローカルユーザーアカウントに適用されるポリシーを確認するために使用されます。このリストにドメインユーザーアカウントが表示されるのは、ドメインユーザーアカウントでログインしている場合のみです。その場合でも、表示されるのは自分のアカウントのみです。
たとえば、ドメイン管理者としてログインしている場合、リストにはドメイン管理者アカウントとすべてのローカルユーザーアカウントが含まれます。したがって、ドメインユーザーアカウントのポリシー設定を確認する必要がある場合は、RSoPウィザードを起動する前に、そのユーザーとしてログインする必要があります。
ユーザーリストの下にはラジオボタンがあり、これを使うとウィザードでユーザーポリシーを無視できます。このラジオボタンは、トラブルシューティングの際に、ユーザーポリシーに惑わされることなく、どのポリシー要素がコンピューターアカウントに直接適用されるかを確認したい場合に便利です。
調査対象のユーザー(存在する場合)を選択すると、図 Cに示す画面が表示されます。この画面には、選択したモード、ユーザー、およびコンピューターの詳細を示す概要が表示されます。一部のウィザードでは概要画面が簡単に無視されがちですが、この画面はよく確認することをお勧めします。RSoP ウィザードを実行している場合は、おそらく何らかのポリシーの問題をトラブルシューティングしようとしているのでしょう。実際とは異なるユーザーまたはコンピューターのポリシー設定を表示していると誤解すると、トラブルシューティングのプロセスが非常に困難になる可能性があります。そのため、続行する前に、概要画面に表示されている情報を少し確認してください。
| 図C |
 |
この時点で「次へ」をクリックして検査プロセスを開始します。ユーザーとコンピュータに割り当てたポリシー要素の数によっては、このプロセスに1~2分かかる場合があります。
RSoP ウィザードの結果の表示
検査プロセスが完了したら、「完了」ボタンをクリックします。奇妙に思えるかもしれませんが、このプロセスの最初に表示された「スタンドアロン スナップインの追加」ダイアログボックスに戻ります。「閉じる」と「OK」をクリックして開いているダイアログボックスをすべて閉じ、メインコンソール画面に戻ります。次に、選択したポリシーの結果セットがコンソールツリーに表示されます(図Dを参照)。
| 図D |
 |
結果のポリシーセットはツリー形式で表示されます。ポリシーのルートレベルは、「User On Computer – RSoP」と表示されます。例えば、私のテストマシンでは、ルートレベルは「Administrator on HOBBS – RSoP」と表示されました。この指定は、[ファイル] メニューの [スナップインの追加と削除] コマンドを使用して、別の結果のポリシーセットを追加する場合に使用します。2つ以上のポリシーを追加することで、結果のポリシーセットを相互に比較できます。
ポリシーを展開すると、その下に複数のコンテナが表示されます。各コンテナを展開すると、ユーザー、コンピュータ、またはその両方に適用される個々のポリシー設定にドリルダウンできます(図Eを参照)。
| 図E |
 |
RSoPツリーは通常のグループポリシーコンソールと全く同じ構成ですが、ポリシーの値を割り当てるグループポリシーオブジェクトの名前が表示されます。これにより、実際にユーザーに適用されているポリシーを確認できます。例えば、図Eでは、「タスクマネージャーの削除」設定がローカルグループポリシーによって決定されていることがわかります。この設定がユーザーに問題を引き起こしている場合、どのポリシーを変更すれば問題を解決できるかが分かります。
